Новият Torg Grabber представлява мощен инструмент за кражба на данни, насочен към над 850 браузърни разширения, от които повече от 700 са предназначени за криптовалути. Освен крипто портфейли,  таргетира 103 разширения за мениджъри на пароли и двуфакторна автентикация, както и 19 приложения за водене на бележки.

Началният достъп до системите се осъществява чрез ClickFix техника, която хакерите използват, за да прихванат клипборда и да убедят потребителя да изпълни злонамерена PowerShell команда.

Според анализа на експерти от Gen Digital, Torg Grabber е активно развиван – само за три месеца (декември 2025 – февруари 2026) са идентифицирани 334 уникални екземпляра, като нови command-and-control (C2) сървъри се регистрират всяка седмица.

Технически характеристики и еволюция

Първоначално Torg Grabber използва Telegram-базирани протоколи, а по-късно – собствен, криптиран TCP протокол за ексфилтрация на данни. От 18 декември 2025 г. Torg Grabber преминава на HTTPS канал чрез инфраструктурата на Cloudflare, позволявайки разделено качване на данни и доставка на полезен товар.

Torg Grabber включва множество анализо-устойчиви механизми, многопластова обфускация и изпълнява основния си payload изцяло в паметта чрез рефлексивно зареждане и директни системни повиквания.

На 22 декември 2025 г. е добавен App-Bound Encryption (ABE) bypass, който заобикаля защитата на бисквитките в Chrome, Brave, Edge, Vivaldi и Opera. Освен това е открит отделен инструмент наречен Underground, който чрез DLL инжекция извлича master key на браузъра, подобно на техники, наблюдавани при VoidStealer.

Обширни възможности за кражба на данни

Torg Grabber таргетира 25 Chromium-базирани браузъра и 8 версии на Firefox, като се опитва да извлече пароли, сесийни бисквитки и автозапълване. Сред най-засегнатите крипто портфейли са MetaMask, Phantom, TrustWallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui и Solflare, както и редица по-малки проекти с ограничен брой инсталации.

За мениджърите на пароли и инструменти за 2FA Torg Grabber таргетира разширения като LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, Psono, Pleasant Password Server, heylogin, 2FAAuth, GAuth, TOTP Authenticator и Akamai MFA.

Torg Grabber също събира информация от Discord, Telegram, Steam, VPN и FTP приложения, имейл клиенти и настолни крипто портфейли. Може да профилира хоста, да създава хардуерен отпечатък, да документира инсталиран софтуер (включително 24 антивирусни програми), да прави скрийншоти и да краде файлове от Desktop/Documents папки.

Допълнително Torg Grabber има способност да изпълнява shellcode, доставен в ChaCha-криптиран и zlib-компресиран формат от C2 сървъра.

Бързо развитие и разширяваща се база на оператори

Според изследователите от Gen Digital, Torg Grabber продължава да се развива с бързи темпове, като нови C2 домейни се регистрират ежеседмично. По време на анализа са документирани 40 уникални тагове на оператори, което показва разрастване на екипа зад Torg Grabber.

Експертите предупреждават, че този malware представлява сериозна заплаха за потребители на криптовалути и мениджъри на пароли и подчертават необходимостта от внимателно управление на доверените разширения и защита на критичните данни.